Перейти к содержанию

Определение брутфорса

Что такое брутфорс-атака?

Брутфорс-атака (от англ. brute force — грубая сила) — это метод несанкционированного доступа к информации, при котором злоумышленник пытается подобрать пароль или ключ шифрования путём перебора всех возможных вариантов. Этот метод основан на предположении, что рано или поздно будет найден правильный вариант.
Брутфорс-атаки могут быть направлены на различные цели, такие как учётные записи пользователей, серверы, базы данных и т. д. Они могут проводиться вручную или с использованием специализированного программного обеспечения.

Уязвимости к брутфорс атакам

  • Слабые пароли: использование простых и легко угадываемых паролей является одной из основных причин уязвимости к брутфорс атакам. Злоумышленники могут использовать специализированное программное обеспечение для перебора большого количества паролей, пока не найдут подходящий.

  • Отсутствие двухфакторной аутентификации: двухфакторная аутентификация значительно усложняет процесс брутфорс атаки, поскольку требует наличия физического устройства или знания дополнительного кода для подтверждения личности пользователя.

  • Отсутствие ограничения на попытки входа по количеству запросов: системы, которые не ограничивают количество попыток входа в систему с одного IP‑адреса, могут стать лёгкой мишенью для брутфорс атак. Ограничение количества попыток входа может значительно усложнить процесс атаки.

  • Отсутствие ограничения на попытки входа при получении ответа 404 на запросы с одного IP‑адреса: при отсутсвии ограничения на 404 ответ с одного IP‑адреса злоушмышленники могут использовать методы отправки большого количества запросов на вход.

  • Отсутствие мониторинга и аудита: отсутствие механизмов мониторинга и аудита событий входа в систему может затруднить обнаружение и реагирование на брутфорс атаки.

Один из методов защиты от брутфорса – триггеры, с помощью которых задаются условия для обнаружения атак. Для типов брутфорс атак настраиваются разные триггеры:

  • Brute force для обнаружения классических брутфорс атак. Условие для обнаружения — количество запросов с одного IP‑адреса.

  • Forced browsing для обнаружения типа брутфорс атаки — forced browsing. Условие для обнаружения — количество кодов ответа 404 на запросы с одного IP‑адреса.

Триггеры с условием "Количество запросов"

Если для защиты от брутфорса уже настроен триггер с условием Количество запросов, он по-прежнему работает. Для настройки триггеров вы также могли использовать правила Добавить к запросам тег брутфорс атаки / forced browsing. Правила применяются, но теперь они недоступны для редактирования или повторного создания.

Ваши сервисы по-прежнему защищены от брутфорс атак, однако теперь доступна более гибкая настройка триггеров на брутфорс атаки. Поэтому мы рекомендуем настроить новые триггеры, как описано ниже, и отключить старые.

Создание триггеров для определения брутфорса

Чтобы настроить определение брутфорса, создайте триггер по инструкции.

Параметры триггеров:

  • Тип триггера Brute force или Forced browsing в зависимости от типа брутфорс атаки, от которой необходимо защитить приложение.

  • Фильтры, если требуются:

  • URI, по которому необходимо фильтровать все запросы из трафика для срабатывания триггера. Например:

    • Для настройки защиты от перебора паролей задайте URI для аутентификации пользователей на ресурсе.
    • Для настройки защиты от атак типа forced browsing задайте URI директории с файлами ресурса.
    • Если URI не задан, триггер будет применяться ко всем запросам. При обнаружении порогового количества запросов к любому эндпоинту с одного IP‑адреса, Вебмониторэкс применит триггер (аналогично для кодов ответа 404).

    URI можно задать с помощью конструктора URI или расширенной формы редактирования URI в окне создания триггера.

    Триггеры с вложенными URI

    Если в триггерах с одинаковыми условиями заданы вложенные URI и запросы поступают на URI с меньшим уровнем вложенности, количество запросов или кодов 404 учитывается только в триггере с меньшим уровнем вложенности URI. Триггер без URI считается триггером с самым высоким уровнем вложенности.

    Пример:

    • В одном триггере с условием Brute force не задан URI (триггер срабатывает на запросы к любому приложению или любой части приложения).
    • В другом триггере с условием Brute force задан URI example.com/api.

    Запросы к example.com/api будут учитываться только во втором триггере с URI example.com/api в условии.

  • Приложение, на адрес которого отправлены запросы.

  • Один или несколько IP, с которых отправлены запросы.

  • Реакции триггера:

    • Для триггера с условием Brute forceОтметить как brute force. Запросы, отправленные после превышения порога, будут отмечены как брутфорс атака и выгружены в список событий в Консоли управления.
    • Для триггера с условием Forced browsingОтметить как forced browsing. Запросы, отправленные после превышения порога, будут отмечены как атака типа forced browsing и выгружены в список событий в Консоли управления.
    • Добавить IP в черный список и время блокировки IP, чтобы заблокировать IP‑адрес или IP‑адреса, с которых были отправлены вредоносные запросы. Нода Вебмониторэкс будет блокировать все запросы, отправленные с IP‑адреса из черного списка после срабатывания порога триггера.
    • Добавить IP в серый список и время блокировки IP, чтобы добавить в серый список IP‑адрес или IP‑адреса, с которых были отправлены вредоносные запросы. Нода Вебмониторэкс будет блокировать запросы с IP‑адреса из серого списка, если обнаружит в них признаки атак на проверку входных данных, атак типа vpatch или индивидуальные признаки атак. Если с IP‑адреса из серого списка поступит брутфорс атака, нода Вебмониторэкс не заблокирует ее.

Принцип действия триггеров на определение брутфорса

Триггер будет реагировать на действия, вызывающие аномалии трафика, и детектировать брутфорс-атаки, которые попадают под параметры триггера:

  • Для триггера с условием Brute force — количество запросов с одного IP‑адреса за промежуток времени.
  • Для триггера с условием Forced browsing — количество кодов ответа 404 на запросы с одного IP‑адреса за промежуток времени.

Примеры триггеров на определение брутфорса

Отметка о брутфорсе при 31 и более запросе за 30 секунд

Чтобы отметить атаку как брутфорс, необходимо настроить триггер с условием Brute force.

Если за 30 секунд на ресурс https://example.com/api/v1/login отправлен 31 запрос или больше, проставляется отметка о брутфорсе и блокируется IP‑адрес, с которого были отправлены запросы.

Триггер брутфорс

Подробнее о настройке защиты от брутфорса и тестировании триггера →

Отметка об атаке типа forced browsing, если код ответа 404 вернулся 31 и более раз за 30 секунд

Чтобы отметить атаку как принудительный просмотр ресурсов (forced browsing), необходимо настроить триггер с условием Forced browsing.

Если за 30 секунд в ответ на запросы к https://example.com/**.** 31 раз или более вернулся код 404, проставляется отметка о forced browsing и блокируется IP‑адрес, с которого были отправлены запросы.

Примеры эндпоинтов: https://example.com/config.json, https://example.com/password.txt.

Триггер forced browsing

Для защиты от брутфорса вы можете настроить несколько триггеров с разными условиями и фильтрами.

Подробнее о настройке защиты от брутфорса и тестировании триггера →

Создание триггера →
Отключение и удаление триггеров →